Posgrado de Especialización en Administración de Organizaciones Financieras. Seguridad y Auditoria Informática

Transcripción

1 Seguridad y Auditoria Informática

2 Agenda Riesgos Gobierno de IT Modelo COSO - COBIT

3 Riesgos Humanas Amenazas Ambientales Pérdidas o Daños a los activos Naturales

4 Riesgos Riesgo: es la pérdida potencial causada por un cierto evento (o una serie de eventos) que pueden afectar adversamente el logro del objetivo de la organización Amenaza: es una acción o evento que puede potencialmente exponer a la empresa a un riesgo. Tipos de riesgos: De negocio Financieros Operacionales Tecnológicos Estratégicos Ambientales Regulatorios Reputacionales

5 Exposición

6 Evolución de la Amenazas 1er. Etapa: Virus, gusanos, etc. intentaban hacer daño y adquirir fama... 2da. Etapa: Amenazas combinadas, con el fin de robar dinero e información personal Hoy: Cibercrimen técnica social y tecnología, uso dominante y confianza

7 Riesgos Algunos Datos Más de 1 millón de los argentinos realizan operaciones en home banking Un 25 % solo mira sus saldos, no mueven dinero, pero un 75% hace transacciones. Hoy se registran más de 7 millones de intentos diarios de phisishing en el mundo. Spam: Llegó a más de MILLONES diarios (20 mensajes x día x persona). América Latina tiene el "orgullo" de posicionarse como el continente con mayores índices de piratería, lo que representó más de millones de dólares en pérdidas debido a la piratería de software.

8 Riesgos Algunos Datos Según el Estudio de Seguridad Informática en Grandes Empresas, realizado por Prince & Cooke. La seguridad informática es un tema cada vez más prioritario para las compañías se observa un responsable específico para el área dentro del organigrama de Sistemas. Actualmente, el 74% de las grandes empresas tiene un responsable del área de SI. El 43% de las grandes empresas posee un departamento específico dedicado a Seguridad Informática, según el mismo estudio. Asimismo, el 41% de las compañías posee un presupuesto específico para el área de Seguridad Informática. El promedio de empleados del área de Seguridad Informática es 10 para empresas de más de empleados; cuatro para las que poseen entre 500 y 1.000; y tres para las que tienen entre 200 y 500 trabajadores. Se destaca, además, que casi el 40% de las grandes compañías tienen previsto aumentar esta cantidad de empleados

9 Ciberactividad ilícita en el Sector Bancario Mayoría de los casos: poca sofisticación técnica 23 % ocupaba cargos técnicos 87% utilizó comandos simples y válidos Planearon sus actos: 85% Motivación: financiera (81%), revancha (23%) insatisfacción (15%), fama (15%) Hombres (58%) Fuente: CERT/CC

10 Ciberactividad ilícita en el Sector Bancario Trabajaban en toda la organización Pocos eran considerados problemáticos Sólo el 27% tenía antecedentes penales 2/3 fueron detectados por personal ajeno a SI 35% detectados por clientes Actos cometidos durante el horario de trabajo Fuente: CERT/CC

11 Tendencia de los ataques informáticos Ataques centrados en estaciones de trabajo => Usuarios comunes Foco se traslada de la propagación ( s) al uso excesivo y sin utilidad de recursos de sistemas (DoS) Encadenamiento de ataques (Ingeniería social + explotación de vulnerabilidades) Altos incentivos económicos (mayores ganancias + organización interna + bajo riesgo de consecuencias legales) Fuente: CERT/CC

12 Situación Actual Mayor dependencia de las organizaciones respecto a las TICs Nuevas oportunidades basadas en el acceso y la disponibilidad de servicios de Internet Preocupación respecto a la privacidad Crecientes casos de robo de identidad Socios de negocios, proveedores y vendedores exigen condiciones de seguridad para dar acceso Mayor espionaje a través de redes Nuevas regulaciones nacionales e internacionales Nuevos ataques y Ciberterrorismo

13 Conceptos Importantes Las Organizaciones son cada vez más dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez más vulnerables a las amenazas concernientes a su seguridad. Amenaza: Representan cualquier peligro potencial, los cuales pueden generar pérdidas o daños a los activos de la Entidad. Son materializadas por Agentes capaces de explotar las vulnerabilidades de seguridad existentes (puntos débiles). Vulnerabilidades: Representan debilidades o fallas en los controles, las cuales pueden facilitar que una amenaza sea materializada. Al ser explotadas, afectan la confidencialidad, disponibilidad e integridad de la información. Riesgo: Es la probabilidad de que las amenazas se materialicen, a través de la explotación de las vulnerabilidades existentes, causando pérdidas o daños a la Entidad, dado que ha sido comprometida la confidencialidad, integridad y/o disponibilidad de la información.

14 Conceptos Importantes Control: Cualquier tipo de medida, que permita prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica. El objetivo de la seguridad de la información es impedir que las amenazas exploten las vulnerabilidades existentes. Tipos de controles: Administrativos: políticas, procedimientos, estándares, lineamientos, etc. Técnicos (Lógicos): Acceso lógico, encripción, Dispositivos de seguridad, etc. Físicos: Protección de las instalaciones, Guardias de seguridad, candados, etc. Controles Físicos Controles Técnicos Controles Administrativos Datos y activos de la Compañía

15 Conceptos Importantes Opciones de tratamiento de los riesgos Una vez identificados los riesgos, existen las siguientes opciones de tratamiento: Aceptarlos -> No se toman medidas. Asignarlos / Transferirlos -> Un tercero se hace cargo del control y/o los costos asociados al riesgo. Normalmente implica un costo a modo de cuota o póliza (por ej. Seguro). Disminuirlos / Mitigarlos -> Se implementan controles para reducir la pérdida y/o disminuir la probabilidad de ocurrencia. Evitarlos

16 Conceptos Importantes

17 Ejemplos Agente Puede explotar esta vulnerabilidad: Lo cual resulta en la materialización de esta amenaza: Virus Falta de software antivirus. Infección de virus. Hacker Administrador Servicio siendo ejecutado en un equipo con altos privilegios. Errores en la parametrización del sistema operativo. Acceso no autorizado a información confidencial. Funcionamiento inesperado del sistema. Fuego Falta de extintores de incendio. Daños sobre las computadoras, personas o instalaciones causadas por un incendio. Empleado Proveedor Intruso Falta de entrenamiento o de estandarización. Falta de auditoría o monitoreo. Fallas en los mecanismos de control de acceso. Inexistencia de un guardia de seguridad, o falta de capacitación de los mismos. Información sensible compartida a personas no autorizadas.modificación no autorizada de los datos de entrada y/ o salida de las aplicaciones. Robo de información sensible del negocio. Robo de activos de la Entidad.

18 Estrategia La Estrategia de Seguridad debe estar alineada con los objetivos del negocio De Qué Protegernos Fuga de Información Sensible Pérdidas Financieras Daños de Imagen / Reputación Caída de Sistema / Pérdida de Clientes Problemas Legales Como Protegernos Gestión de Riesgos Cumplimiento Normativo (BCRA A 4793, 4609 ) Manual de Políticas (Aprobado por el Directorio) Manual de Normas (Alineado con el Manual de Políticas) Estándares y procedimientos (IRAM /17799 / / Cobit /Coso...)

19 Gestión de Riesgos No existe un ambiente 100% seguro, todos tienen un cierto nivel de vulnerabilidades y amenazas. Los riesgos pueden ser reducidos, transferidos o aceptados, pero nunca eliminados. Los responsables de administrarlos deben ser capaces de reconocerlos, analizar su probabilidad de ocurrencia, su impacto, analizar las medidas de control posibles para mitigarlos y finalmente, priorizar la implementación de dichas medidas, en base a las necesidades del negocio. Entre los componentes de un sistema (personas, tecnología, procesos), las personas son normalmente el componente más fácil de vulnerar.

20 Gestión de Riesgos La Administración de Riesgos de la Información es el proceso de identificar los riesgos existentes, reducirlos a un nivel aceptable e implementar los mecanismos adecuados para que el riesgo se mantenga en los niveles aceptados. La administración de riesgos de la información, es un subproceso dentro del proceso general de administración de riesgos de la Entidad, el cual está directamente relacionado con la Política de Seguridad. El proceso de Administración de Riesgos estará regido por una Política de Administración de Riesgos, la cual podría contemplar: Nivel de riesgo que será considerado aceptable para la Entidad. Los lineamientos básicos para la identificación de riesgos. Relación existente entre la Política de Administración de Riesgos y los planes estratégicos de la Entidad. Relación existente entre los riesgos identificados y los controles internos. Relación entre los riesgos e indicadores de rendimiento y presupuestos.

21 Comunicar y Consultar Evaluación de Riesgos Posgrado de Especialización en Administración Proceso de Gestión de Riesgos Establecer el Contexto Identificar Riesgos Analizar los Riesgos Evaluar los Riesgos Tratar los Riesgos Evaluación de Riesgos Monitorear y Revisar

22 Análisis de Riesgos Principales Objetivos del Análisis de Riesgos: Identificar los activos de la Empresa y valuarlos. Identificar las vulnerabilidades y las amenazas. Cuantificar la probabilidad de ocurrencia y el impacto de dichas amenazas. Documentar el análisis comparativo entre el impacto de la amenaza y el costo de las contramedidas (Costo-beneficio del control), el cual será utilizado para seleccionar los controles más convenientes. En proyecto relevantes, esta actividad suele ser llevada a cabo por un equipo compuesto por personal de diferentes áreas, de modo que se identifiquen mayor cantidad de riesgos. En caso que no sea posible la inclusión de las mismas, al menos deben ser tenidas en cuenta para las entrevistas.

23 Análisis de Riesgos Al momento de realizar el análisis de riesgos, se pueden utilizar dos enfoques, estos son: Cuantitativo Cualitativo Intenta asignar un valor real a todos los elementos involucrados en el análisis de riesgos. Se utilizan valores monetarios para evaluar el riesgo. No permite cuantificar todos los activos y todas las amenazas posibles (Por ejemplo el impacto en la imagen de la Entidad). Permite obtener una idea del riesgo y su correspondiente impacto monetario. Es más subjetivo dado que se basa en categorizar las amenazas, los controles y su efectividad, de acuerdo a un sistema de puntuación. Con este enfoque se determina el riesgo relativo al entorno evaluado. Permite determinar la severidad de los riesgos identificados, pero no asignarles valores monetarios en forma directa. Es mucho más sencillo de aplicar que el enfoque cuantitativo.

24 Control Definición de Objetivo de Control : Una declaración del resultado a obtener o del propósito a lograr mediante la implementación de procedimientos de CONTROL en una actividad particular de TI. Fuente: COBIT Definición de Control : Una medida dispuesta para reducir, mitigar, guiar, regular o monitorear riesgos. Un control comprende aquellos elementos de una organización (incluyendo sus recursos, sistemas, procesos, cultura, estructura y tareas) que tomados en su conjunto, asisten al personal para alcanzar los objetivos de la organización. Definición de Control Clave : El control existente que mitiga de manera más completa a un riesgo identificado.

25 Control Características del Control Estar identificados con el objetivo Ser económicos Ser apropiados Ser sencillos y comprensibles Ser flexibles Concentrados en puntos críticos Deben provocar acción

26 Control Clasificación de Control Según el momento de aplicación puede ser: Preventivo, detectivo y correctivo Según su desarrollo: Discrecional o no discrecional Según su imposición: Voluntario o mandatorio Según su implementación: Manual o automático General o de aplicación

27 NIVEL DE RIESGO Posgrado de Especialización en Administración Riesgos y Controles RIESGO INHERENTE CONTROLES RIESGO RESIDUAL CONTROLES CONTROLES ADICIONALES RIESGO RESIDUAL ACEPTABLE CONTROLES EXISTENTES NIVEL DE TOLERANCIA EVALUAR LOS RIESGOS EVALUAR LOS CONTROLES AGREGAR CONTROLES

28 Visión Anterior de los Riesgos Se basa principalmente en evitar el riesgo y se enfoca en riesgos sobre los activos existentes, dejando de lado la creación de valor a futuro. Utiliza de definiciones de riesgos ad hoc. Mantiene el foco en los riesgos inherentes y es optimista en los riesgos residuales, basado en factores de probabilidad. No está integrada dentro de los procesos esenciales de la compañía. Se estructura en silos sin tener una interacción o interdependencia entre las diferentes áreas y procesos de la compañía. No es coordinada y es muy compleja. No produce una vista cartera de los riesgos de negocios y sus vulnerabilidades. Como resultado de todo lo anterior, no es efectivo y/ o sostenible en el tiempo.

29 Visión Actual de los Riesgos Se basa principalmente en gestionar/administrar el riesgo teniendo en cuenta la creación de valor a futuro. Se busca proveer una seguridad razonable que los riesgos críticos han sido identificados y son apropiadamente administrados. Un enfoque top-down integrado. Un vista portfolio amplia de los riesgos para los reportes del Directorio. Un medio para alinear especializaciones en riesgo y estrategias para la compañía en su conjunto. Un medio para dar soporte en las estrategias establecidas, en cuanto a riesgos, y la toma de decisiones. Un medio para mejorar el risk intelligence como una ventaja competitiva.

30 Y Nuestros Controles cubren todos los Riesgos?

31 GOBIERNO CORPORATIVO Juntas Directivas Comités de Auditoría Posgrado de Especialización en Administración Fuerzas del Mercado BCRA Comisión Nacional de Valores REGULACIONES Altos estándares de responsabilidad Baja tolerancia al riesgo Presión política Política impositiva SEC Leyes Incremento de la revelación pública OTROS Complejidad regulatoria sin precedente Percepción pública Red económica Reguladores Monetarios (BCRA) Analistas / Calificadoras Inversores MERCADO DE CAPITALES Acreedores

32 Foco del Control Posgrado de Especialización en Administración Tendencias Externo Interno Integridad y Confidencialidad de la información personal Ley de Habeas Data HIPAA Integridad y Confidencialidad de la Información a nivel general Integridad de la Información Financiera y de Reporte Estándares de Tarjetas de Crédito y Débito SOX Patriot Act S 326 ISO17799/27001 COSO / COBIT Políticas / Normas y Procedimientos BCRA 4609 Superintendencia de Seguros Otros organismos de control Basilea II Gran cantidad de regulaciones (locales e internacionales) y una tendencia en el mercado a impulsar esquemas de Administración de Riesgo para responder o soportar el cumplimiento.

33 Tendencias En los últimos años, los Entes Reguladores de Entidades Financieras Bancarias de Latinoamérica han avanzando en sancionar regulaciones que fuerzan a implementar controles de IT y seguridad. El foco está puesto en: Gobierno de IT Gestión de Riesgos de IT Clasificación y Protección de la Información Continuidad del Procesamiento y del Negocio

34 Normativa Comparada en Latinoamérica País Órgano de Contralor Normativa Principales Aspectos Cubiertos Argentina Banco Central de la República Argentina Comunicación A 4609 Estrategia, Planificación y Gobierno de TI Área de Seguridad independiente de TI Definición de Riesgos de TI y Plan de Mitigación Clasificación y Protección de Activos de Información Continuidad de las operaciones de TI Implementación de Controles Específicos de Seguridad Colombia Superintendencia financiera de Colombia Circular Externa Capitulo Décimo Segundo: requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios Obligaciones generales sobre Seguridad y calidad, Tercerización Outsourcing, Documentación y Divulgación de información Obligaciones adicionales por tipo de canal Reglas sobre actualización de software Obligaciones específicas por tipo de medio: Tarjetas débito y crédito Análisis de vulnerabilidades Ecuador Superintendencia de Bancos de Ecuador Resolución JV Sección 2 Artículo 1.3 Estrategia, Planificación y Gobierno de TI Continuidad de las operaciones Políticas y Procedimientos de Seguridad Evaluación de Riesgos de Seguridad Clasificación y Protección de Activos de Información

35 Normativa Comparada en Latinoamérica País Órgano de Contralor Normativa Principales Aspectos Cubiertos Panamá Superintendencia de Bancos de Panamá (SBP) Acuerdo Requisitos de Seguridad, Monitoreo, Procedimientos Anti-Fraude y Auditoría para Banca Electrónica Acuerdo No. 1 (2007) Por el cual se establecen Normas Mínimas de Seguridad para las Entidades Bancarias (física y lógica) Nueva Ley Bancaria 2008 Incorpora aspectos que permiten a la SBP dar seguimiento a los principales riesgos bancarios, tales como adecuación del capital, crédito, liquidez, operacional, mercado y otros. Costa Rica Controlaría General de la República (CGR) Normas técnicas para la gestión y el control de las tecnologías de información N DFOE) Organización, planificación, estrategia y control de calidad del área de IT Gestión de riesgos Implementación de tecnología informática Prestación de servicios y mantenimiento Monitoreo de los procesos de IT Evaluación del control interno de IT

36 Control Interno Información Protección! Activos

37 Control Interno Control Interno: Una serie de procesos diseñados para proveer razonable seguridad sobre: Efectividad y eficiencia de las operaciones. Confiabilidad del reporte económico financiero. Cumplimiento con las leyes y regulaciones aplicables. Tipos de Control: Control Presupuestario Reportes revisados periódicamente Estructura organizacional, segregación de funciones Políticas y procedimientos Entrenamiento del personal Límites de autorización Reconciliaciones Controles de sistemas

38 Control Interno Como etapa final del proceso de administración de riesgos, se debe velar por el cumplimiento de los controles establecidos para reducir los riesgos a un nivel aceptable e implementar los mecanismos adecuados para que el riesgo se mantenga en los niveles tolerables. Los principales objetivos del monitoreo y la evaluación de controles son: Asegurar que los controles definidos se encuentren implementados. Que dichos controles estén operando en forma efectiva. Que se mantengan en el tiempo. Que no se hayan generado nuevas amenazas o vulnerabilidades, a las identificadas en la evaluación inicial.

39 Gobierno de IT IT se ha convertido en Competencia Universal requerida para: o Crear productos y/o servicios de valor agregado. o Negocios e interacción con clientes y proveedores. o Hacer negocios globales a cualquier hora del día. o Tener procesos continuos y cadenas de aprovisionamiento optimizadas. o Mejorar los controles o Monitorear la marcha del negocio. o Ser mejor, más rápido y creativo que el competidor. Se considera a los datos, la información, los recursos de IT (tecnología, programas, instalaciones, redes y personal) como recursos valiosos de la organización que deberán manejarse de manera eficiente, económica y eficaz. Es preciso administrar los recursos de información por medio de procesos de IT a fin de garantizar la obtención de la información que la organización necesita para lograr sus objetivos de negocio.

40 Gobierno de IT Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en IT. La necesidad del aseguramiento del valor de IT, la administración de los riesgos asociados a IT, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de IT.

41 Gobierno de IT El gobierno de IT es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la IT de la empresa sostiene y extiende las estrategias y objetivos organizacionales. Más aún, el gobierno de IT integra e institucionaliza las buenas prácticas para garantizar que la IT de la empresa sirve como base a los objetivos del negocio. De esta manera, el gobierno de IT facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Estos resultados requieren un marco de referencia para controlar la IT. Marcos de referencia: COSO COBIT. Gobierno de IT según COBIT: Es parte integral del Gobierno corporativo y cubre liderazgo, estructuras organizacionales y procesos que garantizan que la organización de TI soporte y extienda las estrategias y objetivos del negocio.

42 Gobierno de IT Objetivos a cumplir: o Alineación de la tecnología con la Empresa y produzca los beneficios prometidos. o Explotar oportunidades y generar máximos beneficios. o Empleo responsable de los recursos. o Gestión de los riesgos.

43 Gobierno de IT El problema! En algunas organizaciones, el estado actual de los procesos de gestión de riesgos no están formalizados, tornándolos complejos y fragmentados y resulta difícil lograr un cumplimiento sostenible. Silos Organizacionales y Funcionales Falta de visibilidad y alineamiento con el negocio Complejidad Integración Pobre Duplicación Fugas a través de las brechas Desperdicio de Información Vulnerabilidad Complejidad e inflexibilidad innecesario

44 Gobierno de IT Establecer Objetivos: o Alineación de la tecnología con la Empresa y produzca los beneficios prometidos. o Explotar oportunidades y generar máximos beneficios. o Empleo responsable de los recursos. o Gestión de los riesgos. Proporcionar Dirección Comprar Medir Desempeño Actividades de IT: o Aumentar automatización. o Reducir costos. o Manejar riesgos y cumplimiento.

45 Gobierno de IT La Solución! Contar con procesos de Gestión de IT organizados, optimizados y eficientes, que permitan cumplir tanto objetivos de negocio como objetivos de Gobierno y de cumplimiento. Factores Claves de Éxito Integración Transparencia y visibilidad Procesos optimizados Lenguaje común Reducción de costos Uso de recursos efectivo y eficiente Equipo Liderazgo alineado, con la mezcla exacta de habilidades para analizar la situación actual. Involucramiento del Auditor Interno en un rol de asesor en riesgos Apertura Disposición para escuchar, enfrentar los hechos y no tratar de encontrar culpables Seguridad Perspectiva empresarial Capacidad para agregar valor y proveer servicios diferenciadores Generación de información relevante y precisa que refleje la realidad. Desarrollo de indicadores de gestión

46 Gobierno de IT Consideraciones: o La dependencia tecnológica cambia el tipo de riesgos que pueden amenazar a la organización. Confidencialidad Integridad Disponibilidad o La concentración tecnológica requiere mayores medidas de seguridad. o La alineación de la estrategia organizacional con la de IT debe ser fuerte. o La Dirección debe participar en las cuestiones tecnológicas. o Delegar las decisiones estratégicas de la tecnología es un riesgo. o Mantener actualizada la tecnología es una tarea constante. o La capacidad de procesamiento es un riesgo que aumenta con el tiempo. o La información es un activo que debe protegerse y resguardarse.

47 Gobierno de IT Factores de éxito: o Análisis y gestión de los riesgos tecnológicos. o Actualización de la tecnología. o Organización del área, especificación de funciones y roles. o Alineación de la estrategia de IT con la del negocio. o Monitoreo de los resultados y del aporte de la tecnología. o Fuertes políticas y procedimientos de seguridad, operación y continuidad. o Comité de tecnología. o Planeamiento. o Uso de nuevas tecnología y convergencia en comunicación.

48 Modelo COSO - ERM Componentes de control interno: o Ambiente de control o Valuación de riesgos o Actividades de control o Información y comunicación o Monitoreo El modelo COSO ERM es una herramienta idónea para asegurar un control interno que reduzca sustancialmente el fraude corporativo y asegure una buena gestión.

49 Modelo COSO - ERM Componentes del modelo COSO - ERM o Ambiente interno o Establecimiento de objetivos o Identificación de eventos o Evaluación de riesgos o Respuesta a riesgos o Actividades de control o Información y comunicación o Monitoreo

50 COBIT COBIT es un acrónimo formado por las siglas derivadas de: o Control o OBjectives o for Information o and related Technology COBIT (Objetivos de control de información y tecnologías relacionadas), publicado por ITGI, es un modelo aceptado de buen control de la información, las IT y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno sobre IT y mejorar sus controles. Contiene objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

51 COBIT Compendio de mejores prácticas aceptadas internacionalmente. Orientado al gerenciamiento de las tecnologías. Complementado con herramientas y capacitación. Gratuito. Respaldado por una comunidad de expertos. En evolución permanente. Mantenido por una organización sin fines de lucro, con reconocimiento internacional. Mapeado con otros estándares. Orientado a Procesos, sobre la base de Dominios de Responsabilidad.

52 COBIT Vincula las expectativas de la gestión de IT con las responsabilidades de la gestión de IT. LO QUE OBTIENE INFORMACION RECURSOS DE TI PROCESO DE NEGOCIO Datos Sistemas de aplicación Tecnología Instalaciones Personal LO QUE NECESITA COINCIDEN? eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

53 COBIT Vincula las expectativas de la gestión de IT con las responsabilidades de la gestión de IT. Dominios (4) Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y encuadra en el ciclo de vida aplicable a los procesos de TI. Procesos (34) Actividades /Tareas (318) Una serie de actividades o tareas vinculadas con cortes (de control) naturales. Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

54 COBIT Cubo COBIT: Tres dimensiones

55 COBIT OBJETIVOS DE NEGOCIO GOBIERNO DE TI Dominios de Control MONITOREO ENTREGA Y SOPORTE COBIT INFORMACION eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones personal Dominios de Control en Tecnología de la Información PLANIFICACION Y ORGANIZACION ADQUISICION E IMPLEMENTACION

56 COBIT - Procesos Planear y Organizar PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir los procesos, organización y relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos

57 COBIT - Procesos Adquirir e Implementar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios

58 COBIT - Procesos Entregar y dar soporte ES1 ES2 ES3 ES4 ES5 ES6 ES7 ES8 ES9 ES10 ES11 ES12 ES13 Definir y administrar los niveles de servicio Administrar los servicios de terceros Administrar el desempeño y la capacidad Garantizar la continuidad del servicio Garantizar la seguridad de los sistemas Identificar y asignar costos Educar y entrenar a los usuarios Administrar la mesa de servicio de los incidentes Administrar la configuración Administrar los problemas Administrar los datos Administrar el ambiente físico Administrar las operaciones

59 COBIT - Procesos Monitorear y Evaluar ME1 ME2 ME3 ME4 Monitorear y evaluar el desempeño de TI Monitorear y evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI

60 COBIT - Procesos Para cada uno de los 34 procesos se definen: ME1 Descripción del proceso Indicadores de información y dominio Objetivos de IT Objetivos del Proceso Prácticas Clave Métricas Gobierno y recursos de IT

61 COBIT - Procesos Para cada uno de los 34 procesos se definen: PROCESOS ME1 DATOS Funciones de negocio y actividades que utilizan la tecnología de információn Los objetos de datos en su sentido más amplio, es decir: externos e internos, estructurados y no estructurados, gráficos, sonido, etc. APLICACIONES TECNOLOGIA INSTALACIONES PERSONAL La suma de programas de aplicación, funciones de procesamiento y procedimientos manuales Hardware, sistemas operativos, manejo de bases de datos, trabajo en redes, multimedia, Telecomunicaciones y telefonía Ambientes que albergan y soportan los sistemas y procesos informáticos Habilidades, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar y dar soporte y monitorear servicios y sistemas de información

62 COBIT Cualidades de la Información

63 COBIT Areas de foco en Gobierno de IT Estas áreas focales de gobierno de IT describen los tópicos en los que la dirección ejecutiva requiere poner atención para gobernar la IT en sus empresas. La dirección operacional usa procesos para organizar y administrar las actividades cotidianas de IT. COBIT brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de IT, ofreciendo un modelo de referencia común entendible para los gerentes operacionales de IT y del negocio. GOBIERNO DE IT Administración de recursos

64 COBIT Areas de foco en Gobierno de IT Gobierno de IT Lineamiento estratégico: se enfoca en garantizar el vínculo entre los planes de negocio y IT, en definir, mantener y validar la propuesta de valor de IT y en alinear las operaciones de IT con las operaciones de la empresa. Gobierno de IT Valor del Servicio: se refiere a ejecutar la propuesta de valor en todo lo largo el ciclo de entrega, asegurando que IT genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la IT.

65 COBIT Areas de foco en Gobierno de IT Gobierno de IT Administración de recursos Gobierno de IT Gobierno de IT Administración de recursos: se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de IT: Aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento y de infraestructura- Medición del desempeño: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, p.e.: el balanced scorecards que traducen su estrategia en acción para lograr las metas que se pueden medir mas allá del registro convencional. Administración de riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.

66 COBIT Modelo de Madurez Se refieren a requerimientos de negocios (Medidas de resultado) y a los aspectos habilitantes (Indicadores de desempeño) en los diferentes niveles. Son una escala que conducen en sí mismos a una comparación pragmática. Son una escala donde la diferencia puede medirse de una manera fácil. Son reconocibles como un perfil de la empresa en relación a la gobernabilidad y control de IT. Ayudan a determinar las posiciones cómo es (as is) cómo será (to be) en relación a la madurez de gobernabilidad y control de IT. Se prestan para realizar análisis de gaps para determinar que se debe hacer para lograr un nivel elegido. No son específicos para una industria ni aplicables genéricamente, la naturaleza del negocio determinará cuál es un nivel apropiado.

67 COBIT Modelo de Madurez

68 COBIT Modelo de Madurez 0 Inexistente. Falta total de cualquier proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que manejar. 1 Inicial. Hay evidencia de que la organización ha reconocido que los problemas existen y necesitan ser manejados. Sin embargo no hay procesos estandarizados pero en su lugar hay aproximaciones ad hoc que tienden a ser aplicadas en una base individual o caso por caso. La aproximación completa al gerenciamiento está desorganizada. 2 Repetible. Los procesos se han desarrollado hasta una etapa donde los procedimientos similares son seguidos por distintas personas llevando a cabo la misma tarea. No hay entrenamiento formal o comunicación de los procedimientos estándar y la responsabilidad se deja en el individuo. Hay un alto grado de confianza en el conocimiento de los individuos y por lo tanto los errores son probables. 3 Definido. Los procedimientos han sido estandarizados y documentados, y comunicados mediante entrenamiento. Sin embargo se le deja al individuo el seguir estos procesos, y no es probable que las desviaciones sean detectadas. Los procedimientos en sí mismos no son sofisticados pero son la formalización de las prácticas existentes. 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar accion donde los procesos parecen no estar trabajando efectivamente. Los procesos están bajo constante mejoramiento y brindan buena práctica. La automatización y las herramientas son usadas de una forma limitada o fragmentada. 5 Optimizado. Los procesos han sido refinados al nivel de las mejores prácticas, basados en los resultados del mejoramiento continuo y el modelado de madurez con otras organizaciones. TI se usa de una forma integrada para automatizar el workflow, brindando herramientas para mejorar la calidad y efectividad, haciendo que la empresa sea rápida en adaptarse.

69 COBIT Definiendo metas de IT Estrategia Empresarial Metas de negocio Para IT IT Scorecard Métricas Metas de TI Dirigen Métricas Dirigen Arquitectura Empresarial para TI

70 COBIT Arquitectura Entregan Información Procesos de TI (incluyendo responsabilidades) Ejecutan Aplicaciones Requieren Infraestructura y Personas

71 COBIT Proceso, Meta y Metricas

72 COBIT Conclusión Es una herramienta que, utilizando aspectos de eficacia y eficiencia, integra adecuadamente los aspectos de calidad y seguridad de los SI, permitiendo, con un lenguaje llano y accesible, fomentar la dirección participativa, facilitando la comunicación de los propósitos gerenciales al resto de la Organización, lo que constituye una base para la calidad total.

73 Evolución del ámbito de aplicación Posgrado de Especialización en Administración COBIT Evolución De una herramienta de auditoría a un marco de gobierno de las TI Gobernabilidad empresarial de TI Gobernabilidad de TI Administración Val IT 2.0 (2008) Control Auditoria Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT /7 2012

74 COBIT 5 COBIT 5 es un producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre técnicas de gobierno y administración relacionadas con la TI Para más referencias:

75 COBIT 5 COBIT 5 Integra los anteriores marcos referenciales de ISACA o o o o Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorías de TI y de tareas de evaluación de cumplimiento

76 COBIT 5 - Principios Estructura de manera separada para el Gobierno y la Gestión Fundamentad o en facilitadores COBIT 5 Principios Enfoque al Negocio y su Contexto para toda la Organización Marco Integrador Conductores de valor para los Interesados o o o o o Marco Integrador Conductores de valor para los Interesados Enfoque al Negocio y su Contexto para toda la organización Fundamentado en facilitadores Estructurado de manera separada para el Gobierno y la Gestión

77 COBIT 5 - Arquitectura Necesidades de las partes interesadas Objetivos de Gobernabilidad: Valor (Beneficios, riesgos, recursos) Directrices vigentes de ISACA (COBIT, Val IT, Risk IT, BMIS ) Otras normas y marcos COBIT 5 : Familia de Productos COBIT 5: El marco COBIT 5: Guía para Facilitadores COBIT 5 : Guía del Proceso de Referencia COBIT 5: Guías de Prácticas Otras orientaciones para facilitadores COBIT 5 Facilitadores Capacidad de brindar servicio Habilidades y competencias Procesos Cultura Etica Comportamiento Estructura Organizacional COBIT 5 : Guía del Marco de Implementación COBIT 5 para Seguridad Otras guías de prácticas COBIT 5 Ambiente de colaboración en línea COBIT 5 Base de Conocimientos Principios y políticas Información Lineamientos y contenidos Estructura de los contenidos futuros

78 COBIT 5 Objetivos de Gobierno Necesidades de las partes interesadas Objetivo de Gobierno: Creación de Valor Realización de beneficios Optimización de Riesgos Optimización de Recursos

79 COBIT 5 Objetivos de Gobierno IT Service Capabilities Skills & Competencies Principles & Policies Processes Information Culture, Ethics, Behaviour Organisational Structures o o o o o o o Cultura, Ética y Comportamiento Estructura Organizacional Información Principios Políticas Habilidades y Competencias Capacidad de brindar Servicios Procesos

80 COBIT 5 Objetivos de Gobierno IT o Procesos de Gobierno Dirección Gobernabilidad de Procesos Gestión de Procesos Permite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos o Procesos de Gestión Monitoreo Utilización prudente de medios (recursos, personas, procesos, prácticas) para lograr un fin específico

81 COBIT 5 Objetivos de Gobierno Evaluar, Dirigir y Controlar EDM01 Ajuste Marco de Gobernabilidad y Mantenimento EDM02 Asegurar la entrega de Beneficios EDM03 Asegurar la optimización de Riesgos Gobernabilidad en los Procesos de TI en la empresa EDM04 Asegurar la optimización de Recursos EDM05 Asegurar la transparencia a las partes interesadas Linear, Planear y Organizar APO01 Gestionar el marco de gestión de TI APO08 Manejo de Relaciones APO02 Administrar Estrategia APO09 Administración de acuerdos de servicios APO03 Gestión de Arquitectura Empresarial APO10 Gestión de Proveedores APO04 Gestión de la Innovación APO11 Gestión de Calidad APO05 Administración de cartera de clientes APO12 Manejo de Riesgos APO06 Gestión del presupuesto y los costos APO13 Manejo de Seguridad APO07 Gestión de Recursos Humanos Monitorear Evaluar, Analizar MEA01 Supervisar y evaluar el desempeño y cumplimiento Construir, Adquirir y poner en práctica BAI01 Administración de Programas y Proyectos BAI02 Administración la definición de requisitos BAI03 Gestión de identificación de soluciones BAI04 Administración de la disponibilidad y capacidad EDM BAI05 Gestionar la habilitación de cambio organizacional BAI06 Gestión de Cambios BAI07 Aceptación de la Gestión de Cambios y la transición MEA02 Supervisar y evaluar el Sistema de Control Interno BAI08 Gestionar el conocimiento BAI09 Gestionar los activos BAI10 Administrar la configuración Ofrecer un Servicio y Soporte DSS01 Gestionar las operaciones DSS02 Gestionar las solicitudes de servicios e incidentes DSS03 Gestionar los problemas DSS04 Gestión de continuidad DSS05 Administración de servicios de seguridad DSS06 Gestionar los controles de procesos de negocios MEA03 Evaluar el cumplimiento de los requisitos externos Procesos para la Gestión de TI en las Empresas

82 COBIT 5 Resultados esperados: o o o o Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos. La función de TI se vuelve mas enfocada al negocio Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados TI es visto como facilitador clave. Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI.

83 Resumen Preguntas?

84 Posgrado de Especialización en Administración